2026년 7월 4일 · 4² AI 뉴스레터
안드로이드 개발자 인증, 보호인가 위협인가?
f-droid.org
파이랩 정리
안드로이드 개발자 인증: 보호인가 위협인가?
새로운 위협의 등장
안드로이드 8 이상을 실행 중인 기기에는 바이러스가 설치되어 있으며, 이는 원격 활성화를 조용히 기다리고 있습니다. 최근 몇 달 동안 전 세계의 기기들이 이 새로운 유형의 바이러스에 감염되었습니다. 약 40억 대의 안드로이드 핸드셋과 태블릿이 이미 감염된 것으로 추정되며, 이는 인류의 절반이 이 위협에 노출될 수 있음을 의미합니다. 이 바이러스는 "Android Developer Verifier" (ADV)라는 무해한 이름을 가장하여 시스템 서비스로서 백그라운드에서 조용히 실행되며, 루트 권한을 가지고 활성화 신호를 기다립니다. 이 서비스는 차단, 비활성화 또는 제거가 불가능합니다. 일반적인 악성 소프트웨어와 달리, 이 특별한 유형의 바이러스는 Play Protect에 의해 탐지되거나 중화되지 않습니다. 사실, Play Protect 자체가 이 바이러스가 전파되고 설치되는 경로입니다. 이는 Google이 ADV를 전파하고 있기 때문입니다.
보호로 가장한 위협
ADV가 활성화되면, 이 악성 프로세스의 유일한 목표는 Google에 의해 중앙에서 승인되지 않은 개발자가 만든 소프트웨어의 실행을 차단하는 것입니다. 우리는 지난해 9월, Android Developer Verification 프로그램에 대해 경고를 처음으로 제기했습니다. Google은 모든 안드로이드 개발자가 중앙에서 등록하도록 요구하는 것을 악성 소프트웨어의 확산을 막기 위한 해결책으로 합리화하고 있습니다. 그러나 이 프로그램은 실제로 악의적인 행위자가 처음부터 악성 소프트웨어를 배포하는 것을 방지할 수 있는 기능을 포함하고 있지 않습니다. ADV의 유일한 이점은 이미 확인된 재범자가 새로운 서명 키로 악성 소프트웨어를 계속 배포하기 위해 새로운 계정을 만들거나 구매해야 한다는 점에서 그들의 행동을 지연시킬 수 있다는 것입니다. 이 비교적 좁은 위협 벡터에 대해서는 훨씬 덜 가혹한 다양한 해결책이 제안되었습니다. Play Protect 자체가 최근 기기에 대한 보안 기능의 발전을 계속하면서, 의심스러운 경로를 통해 얻은 권한이 높은 새로 설치된 앱을 더 면밀히 조사하도록 강화될 수 있습니다. 또는 사용자가 자신의 신뢰할 수 있는 큐레이터와 권위를 선택하여 사전 승인을 받을 수 있는 연합 검증자 시스템이 구현될 수 있습니다.
악성 소프트웨어에 대한 논의
개발자가 Google에 "검증된" 개발자로 등록하기로 결정한다면, 그들은 계정을 등록하고 수수료를 지불하며, 상세한 개인 정보를 제출하고 정부 발급 신분증을 업로드해야 합니다. 그리고 그들이 배포하려는 모든 앱의 식별자와 서명 키를 등록해야 합니다. 그러나 가장 교묘한 단계는 Android Developer Console 이용 약관에 대한 필수 동의입니다. 이 문서에는 여러 가지 우려 사항이 있지만, 가장 우려해야 할 부분은 다음과 같습니다: "6.5 귀하가 약관을 위반하거나 악성 소프트웨어 또는 기타 유해한 애플리케이션을 배포하는 경우, Google은 귀하의 ADC 접근을 종료할 수 있습니다." 이 합리적으로 들리는 조항은 "악성 소프트웨어"가 정확히 무엇을 의미하는지에 대한 질문을 제기합니다. 문서 어디에도 이 용어에 대한 정의가 없습니다. 공식적인 정의, 표준 또는 지침이 없는 상태에서, 이는 암묵적으로 "악성 소프트웨어"는 우리가 의미하는 바를 의미한다고 명시합니다.
개발자 커뮤니티의 반발
Google은 최근 "Play 개발자의 99% 이상의 앱이 등록되었다"고 주장하며 ADV가 인기 있고 널리 수용된 지침인 것처럼 보이게 했습니다. 그러나 이는 사실과 거리가 멉니다. 이 99%의 개발자는 이미 Play Store 계약에 의해 자동으로 등록되었으며, 수많은 사람들이 ADV에 반대하는 청원에 서명했습니다. "Keep Android Open" 연합은 이 프로그램을 비난하는 공개 서한에 전 세계 70개 이상의 조직이 서명했습니다. 이 프로그램에 대한 반대는 압도적이며, 비난은 보편적입니다. 개발자 라운드테이블 비디오에서 프로그램을 방어하려는 시도에 대해 90%의 시청자가 불만을 표시했으며, Google Gemini조차도 프로그램의 인기에 대한 문의에 대해 부정적인 반응을 보였습니다.
앞으로의 전망
ADV 활성화가 9월 30일에 시작될 때 어떤 실패 모드가 발생할지 정확히 알 수 없습니다. 브라질, 인도네시아, 싱가포르, 태국에 거주하는 5억 8천만 명의 사람들은 ADV 잠금의 첫 번째 대상입니다. "2027년 이후" 전 세계적으로 롤아웃될 것으로 예측됩니다. 9월 30일에 무엇을 기대해야 할지에 대한 많은 질문이 아직 답변되지 않았습니다. F-Droid 앱을 설치하거나 실행하려고 할 때 무슨 일이 발생할까요? F-Droid를 통해 설치한 모든 앱은 어떻게 될까요? 비활성화되거나 삭제될까요? 갑자기 사라진 앱에 의존하는 경우, 그들이 포함한 데이터를 어떻게 할 수 있을까요? 모든 소프트웨어 설치와 실행이 Google에 보고되면서, 그 원격 측정에는 어떤 정보가 포함될까요? 우리는 악성 소프트웨어 공급업체에 문의했습니다. 앞으로 몇 주와 몇 달 동안 ADV에 의해 영향을 받을 사람들을 위한 더 많은 지침과 지원을 제공할 예정입니다.
